- Phân loại người dùng tuỳ theo yêu cầu của họ: Ta sẽ cần phải nghiên cứu hồ sơ của người dùng một cách thấu đáo để xác định các yêu cầu của họ và phân loại vào các nhóm khác nhau bao gồm nhóm người dùng thuộc chi nhánh văn phòng, nhóm người dùng di động, nhóm nhân viên làm việc tại nhà. Những người dùng thuộc nhóm chi nhánh văn phòng thường không di động và yêu cầu truy cập không bị giới hạn tới mạng của văn phòng trung tâm và các nhánh mạng khác trong Intranet. Nhóm người dùng di động là một tập người dùng với các hồ sơ luôn di chuyển, họ thường sử dụng một máy xách tay để truy cập Intranet của tổ chức. Điển hình là họ sử dụng kết nối mạng riêng ảo để truy cập email và một số các tài nguyên cần thiết khác. Nhóm nhân viên làm việc tại nhà truy cập Intranet của tổ chức với thời gian ngắn và các tài nguyên giới hạn - Các yêu cầu truy cập và kết nối: Bước tiếp theo là xác định các yêu cầu kết nối và truy cập mạng của mỗi loại người dùng VPN. Ta cần xác định kiểu kết nối mạng WAN có thể được cung cấp theo ngân quỹ của ta và các ràng buộc hiệu suất của nó. Ta cũng cần xác định tốc độ dữ liệu trung bình được yêu cầu cho những loại kết nối và những người dùng khác nhau - Các yêu cầu an toàn: An toàn trong một thiết lập dựa trên màng riêng ảo đòi hỏi tính bí mật, toàn vẹn và xác thực. Để đảm bảo tất cả những yếu tố này trong các giao dịch mạng riêng ảo của ta, cần phải thực thi các phương tiện an toàn khác nhau, chẳng hạn như các cơ chế mã hoá, các cơ chế xác thực và cả các giải pháp an toàn dựa trên phần cứng như RADIUS, AAA, TACACS, Firewall, NAT,… Ta không thể chọn tuỳ tiện bất kỳ một phương tiện nào trong số trên, mà cần phân tích các yêu cầu của tổ chức để hiểu giải pháp nào nên được thực thi. Sự lựa chọn giải pháp bảo mật thích hợp cũng tuỳ thuộc vào mức bảo mật và toàn vẹn được yêu cầu bởi luồng lưu lượng mạng. Ví dụ, nếu tổ chức đề cập đến dữ liệu nhạy cảm trong giao dịch thương mại điẹn tử, ta sẽ cần thực thi một hoặc nhiều giải pháp an toàn để đảm bảo tính bí mật, toàn vẹn và xác thực thích hợp của dữ liệu 5.3.2. Lựa chọn các sản phẩm và nhà cung cấp dịch vụ Sau khi ta đã phân tích và hiểu rõ các yêu cầu của tổ chức và những mong muốn của người dùng, lúc này ta tiến hành chọn lựa các sản phẩm để thực thi mạng riêng ảo. Việc này không phải dễ dàng đưa ra quyết định vì có nhiều sản phẩm phần cứng và phần mềm mạng riêng ảo hiện có. Xem xét các ràng buộc về ngân sách, phương pháp tốt nhất để chọn các sản phẩm là đáp ứng các yêu cẩu của ta và khả năng tài chính. Một số tham số sẽ giúp ta chọn lựa các sản phẩm phần cứng cũng như phần mềm thích hợp cho mạng riêng ảo là: - Các tham số liên quan đến hiệu suất, như thông lượng được duy trỳ liên tục mức cao nhất và thời gian phản hồi thấp nhất - Các tham số liên quan đến an toàn, như các cơ chế mã hoá và xác thực được hỗ trợ - Các tham số liên quan đến phiên làm việc, như tốc độ tuyền dữ liệu cao nhất - Số lượng kết nối đồng thời được hỗ trợ Ch ú ý Ta phải cẩn thận trong khi lựa chọn các cơ chế mã hoá và xác thực. Mặc dù ch úng nâng cao tính an toàn, nhưng chúng cần nhiều CPU để tính toán và như vậy có th ể làm giảm hiệu suất toàn phần của mạng. Kết quả là, nên dung hoà giữa tính an to àn và hiệu suất. Vì ta vẫn còn chưa xong pha thực thi, đây là điểm mà trong đó ta có thể quyết định giải pháp tận dụng dựa trên các phân tích sản phẩm và cơ sở của ta. Nhà cung cấp dịch vụ sẽ có yêu cầu về khả năng kỹ thuật và kinh nghiệm được yêu để thiết kế và thực thi một giải pháp mạng riêng ảo thích ứng với các yêu cầu của tổ chức. Hơn nữa, giải pháp tận dụng cũng sẽ dẫn đến gánh nặng trong việc quản lý và giám sát lên vay chúng ta. Tuy nhiên, hạn chế ở đây là việc xử lý an toàn của tổ chức qua một tổ chức bên ngoài (người ngoài cuộc). Điều này không thể chấp nhận được với các tổ chức và người quản trị. Vì vậy, ta nên phân tích chi tiết SLA mà nhà cung cấp dịch vụ đem lại cho ta. Một sự hiểu biết sâu sắc mỗi điểm trong SLA cũng sẽ giúp ta xác minh rằng nhà cung cấp dịch vụ đang cung cấp mức dịch vụ đúng như trong SLA 5.3.3. Kiểm thử kết quả Nếu quyết định được áp dụng thực thi trong một nhóm của thiết lập mạng riêng ảo, ta sẽ cần kiểm tra và đánh giá mỗi sản phẩm mạng riêng ảo mà ta đã chọn. Điều này sẽ giúp ta đảm bảo tính đúng đắn trước khi bắt đầu lựa chọn các sản phẩm phần cứng và phần mềm tương thích với mỗi sản phẩm khác. Thông thường, việc kiểm thử được thực hiện với một phạm vi nhỏ thí điểm có kết hợp nhiều nhóm người dùng khác nhau. Mỗi khía cạnh của mạng riêng ảo nên được kiểm thử và ta nên xem cách mỗi sản phẩm sẽ hoạt động trong môi trường thực. Thí nghiệm này cũng đảm bảo rằng các sản phẩm được cấu hình đúng và được thự thi trên các đặc tính kỹ thuật Nếu ta đã quyết định sử dụng các dịch vụ của nhà cung cấp, một thí nghiệm nhỏ để kiểm thử và xác minh giải pháp đưa ra bởi nhà cung cấp dịch vụ trong môi trường thực được khuyến cáo. Nếu thí nghiệm xẩy ra lỗi, ta sẽ cần thay thế các sản phẩm không đáp ứng đầy đủ các yêu cầu hoặc cấu hình lại chúng. 5.3.4. Thiết kế và thực thi giải pháp Ta hoàn tất để sang pha thiết kế và thực thi chỉ sau khi pha kiểm thử thành công. Trong pha thiết kế và thực thi, ta sẽ thực thi giải pháp mạng riêng ảo mềm dẻo theo kế hoạch của tổ chức Sau khi giải pháp đã được thực thi thành công, ta cần kiểm thử lại toàn bộ thiết lập. Sau khi kiểm thử thành công, ta cũng có thể cần tinh chỉnh giải pháp để tối ưu hoá tính an toàn và hiệu suất của nó 5.3.5. Giám sát và quản trị Việc quản lý và duy trì mạng là một quá trình liên tục. Đển giám sát một thiết lập mạng riêng ảo phạm vi lớn là rất phức tạp. Vì vậy cần vạch ra một chiến lược để quản lý và giám sát mạng của ta Những thói quen sau sẽ giúp ta đảm bảo rằng mạng riêng ảo luôn tối ưu - Thu thập cách sử dụng và thống kê hiệu suất đều đặn - Duy trì file nhật ký chi tiết mỗi hành động liên quan đến mạng riêng ảo, kể cả các hành động thành công. Một sự am hiểu sâu sắc về cách mà nhà cung cấp dịch vụ thực thi giải pháp mạng riêng ảo cung giữ một vai trò quan trọng trong việc giám sát và đánh giá hiệu suất, hiệu quả và tính đầy đủ của giải pháp được cung cấp. Công nghệ mạng đang phát triển rất nhanh chónh, công nghệ mạng riêng ảo cũng vậy. Vì thế, thỉnh thoảng ta phải cần cập nhật cho thiết lập mạng riêng ảo của ta, ta cũng cần di trú tới các nền và các môi trường khác nhau để thích ứng với sự phát triển trong tương lại của tổ chức cũng như các yêu cầu của tổ chức Hầu hết nhứng người thiết kế và quản trị mạng sẽ chỉ cho ta, công việc của ta không kết thúc với sự thực thi một giải pháp. Ta cần phải quản lý và giám sát giải pháp, và như vậy nó cung cấp hiệu suất như hợp đồng. Thi thoảng, ta cũng cần định danh, hỗ trợ và giải quyết bất kỳ vấn đề nào có thể nảy sinh Tổng kết Trong chương này, chúng ta đã xem xét các vấn đề khác nhau cần phải lưu ý lúc thiết kế một giải pháp dựa trên mạng riêng ảo cho một tổ chức. Chương này đã nghiên cứu vấn đề thiết kế mạng riêng ảo, như tính an toàn, đánh địa chỉ và định tuyến, hiệu suất, tính mền dẻo và khả năng liên tác. Các vấn đề khác liên quan đến việc thực thi của các Firewall, NAT, DNS, mức đọ tin cậy trong Intranet và phân phối khoá được đề cập Ta cũng đã nghiên cứu một cách riêng lẻ mỗi môi trường mạng riêng ảo – Remote access, Intranet và Extranet để hiểu rõ các vấn đề và các khả năng khác nhau mà ta có thể phải lập kế hoạch lúc thực thi mạng riêng ảo trong mỗi môi trường này. Cuối cùng, ta đã xem xét về 5 bước tổng quát trong việc thực thi một giải pháp bảo mật dựa trên mạng riêng ảo cho mạng Intraneet của một tổ chức. Các bước này bao gồm pha nghiên cứu để xác định yêu cầu của tổ chức và những người dùng cuối của hệ thống, một pha lựa chọn để chọn các sản phẩm và nhà cung cấp dịch vụ, một pha kiểm thử để kiểm tra các sản phẩm và nhà cung cấp dịch vụ được chọn, một pha thiết kế và thực thi, và một pha giám sát và quản trị để đánh giá hiệu suất và các khía cạnh khác của mạng riêng ảo một cách đều đặn. Chương VI Xây dựng mạng riêng ảo truy cập từ xa 6.1. Các thành phần trong mạng riêng ảo truy cập từ xa 6.1.1. Giới thiệu chung Việc triển khai một mạng riêng ảo có nhiều dịch vụ và chức năng cần phải làm việc cùng nhau một cách trôi chảy và dễ dàng, vì vậy những người dùng truy cập từ xa có thể được định danh và xác thực; các được hầm có thể được tạo lập, duy trì và quản lý cho hàng trăm người dùng; việc định tuyến có thể kiểm soát tất cả luồng lưu lượng qua Gateway, và trong khi tất các những thứ này đang tiếp tục, hiệu suất và sự an toàn cần được duy trì. Các thành phầm phải được cài đặt để tạo ra một hệ thống mạng riêng ảo hoạt động đúng đắn. Để đưa ra quyết định đúng lúc triển khai các kết nối mạng riêng ảo truy cập từ xa, ta phải hiểu tất cả các thành phần liên quan. Trong chương “Tổng quan về mạng riêng ảo” chúng ta đã thảo luận về kiểu kịch bản mạng riêng ảo truy cập từ xa, trong đó nhiều Client truy cập tới một cổng kết nối đơn vào các tài nguyên trong mạng Intranet. Trong phần này ta sẽ mô tả các thành phần của các kết nối mạng riêng ảo truy cập từ xa và các quan điểm thiết kế gắn với chúng Hình 6.1. Các thành phần của một mạng riêng ảo truy cập từ xa Các thành phần chính là - Các Client VPN - Hạ tầng mạng Internet - Server VPN, và các thiết bị khác như Gateway - Hạ tầng mạng Intranet - Máy chủ AAA - Hạ tầng cấp phát chứng chỉ số 6.1.2. Các thành phần . từ xa Các thành phần chính là - Các Client VPN - Hạ tầng mạng Internet - Server VPN, và các thiết bị khác như Gateway - Hạ tầng mạng Intranet - Máy chủ AAA - Hạ tầng cấp phát chứng chỉ số. như phần mềm thích hợp cho mạng riêng ảo là: - Các tham số liên quan đến hiệu suất, như thông lượng được duy trỳ liên tục mức cao nhất và thời gian phản hồi thấp nhất - Các tham số liên quan. Những thói quen sau sẽ giúp ta đảm bảo rằng mạng riêng ảo luôn tối ưu - Thu thập cách sử dụng và thống kê hiệu suất đều đặn - Duy trì file nhật ký chi tiết mỗi hành động liên quan đến mạng riêng